Conficker - das größte Botnet aller Zeiten

Unauffällige Netzwerk-Scans mit Blacklists

Im Verbreitungsweg gibt es noch eine Neuerung: Auf der Suche nach neuen Opfern setzt Conficker Netzwerk-Scan-Funktionen ein. Frühere Würmer haben diese Technik oft übertrieben, sodass es deutlich merkbare Einbußen bei der Geschwindigkeit gab. Conficker dagegen geht einen anderen Weg: Die Malware misst die durchschnittliche Netzwerkgeschwindigkeit des befallenen Systems, indem sie mehrere Webseiten kontaktiert und die Antwortzeiten misst.

Anschließend nutzt der Wurm die Werte, um die durchschnittliche Geschwindigkeit des befallenen Rechners im Netzwerk zu berechnen. Anschließend beginnt Conficker mit einem Netzwerk-Scan, um anfällige Rechner im lokalen Netz zu finden. Nach jedem Scan legt er dabei eine Pause zwischen 100 Millisekunden und zwei Sekunden ein. Durch diese Methode bemerken nur wenige Nutzer eine Verschlechterung der Geschwindigkeit. Conficker scannt auf diese Weise sämtliche Adressen aus dem aktuellen IP-Netz. Ist er damit fertig, greift er zufällige Adressen an. Reservierte Blocks, etwa 127.x.x.x, lässt die Malware aus.

Die Entwickler beweisen zudem eine große Weitsicht. Jede Kopie des Wurms trägt eine Blacklist bei sich. Darauf sind die bekannten IP-Adressen von Anti-Malware-Organisationen eingetragen, etwa BitDefender, CERT, CA oder Symantec. Der Gedanke dahinter ist, dass sich der Wurm so verbreiten kann, ohne dass er in Honeypot-Netzen der Antivirenfirmen landet. Außerdem nutzt Conficker diese Listen, um Download-Anfragen von diesen IPs abzulehnen. Dadurch wird es für die Sicherheitsfirmen schwerer, an Code des Wurms zu kommen. Eine ähnliche Taktik nutzte bereits der Storm Wurm.